DSGVO, No-Code und Standort der Server

Stell dir vor: Du hast eine super Idee für eine neue Software. Du hast dich mit potenziellen Kunden unterhalten, vielleicht schon die ersten Designs für die Lösung entworfen oder sogar Funding. Du hast dich schlau gemacht und bist dir sicher, dass deine Lösung mit No-Code gebaut werden kann. Denn mit No-Code kannst du schneller launchen und sparst viel Geld.
Jetzt stößt du auf folgende Aussage:

"Da No-Code-Plattform X die Daten nicht in der EU speichert, ist eine DSGVO-konforme Nutzung nicht möglich."

Das kann extrem verunsichern und hat schon den ein oder anderen zu einer weniger praktischen und günstigen Alternativlösung getrieben.

Diese Einschätzung ist jedoch ein Mythos, der immer noch verbreitet wird. Oft von Unternehmen/Experten, die Beratungsleistungen verkaufen wollen. Der Standort der Server kann zwar einen Einfluss darauf haben, ob die Lösung eine GDPR-konforme Datenspeicherung ermöglicht, ist aber für sich genommen nicht aussagekräftig.

Wir sind keine Juristen und dies ist keine Rechtsberatung. In diesem Blogbeitrag erfährst du lediglich, wie wir das Thema verstehen und wie du unserer Meinung nach prüfen kannst, ob mit dem von dir gewählten Tool eine GDPR-konforme Lösung entwickelt werden kann.

1. DSGVO-Anforderungen an No-Code-Plattformen wie Bubble.io, Airtable und Co

Die Datenschutz-Grundverordnung (DSGVO) der EU regelt die Verarbeitung personenbezogener Daten und stellt sicher, dass Unternehmen verantwortungsbewusst mit diesen umgehen. Das heißt jedes No-Code-Tool sowie jede Software die du nutzt muss hier die selben Grundsätze erfüllen wir alle anderen Unternehmen auch.

2. No-Code-Plattformen DSGVO-konform nutzen: Worauf du achten solltest

Nicht alle No-Code-Tools sind DSGVO-konform.
Folgende Punkte sind entscheidend:

Standort der Datenverarbeitung

• Wird die Plattform innerhalb der EU gehostet?

• Falls außerhalb der EU, gibt es angemessene Schutzmaßnahmen?

Das EU-US Data Privacy Framework ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten, das den Schutz personenbezogener Daten bei Übermittlungen zwischen der EU und den USA gewährleisten soll. Es besagt, dass personenbezogene Daten aus der EU an teilnehmende US-Unternehmen übertragen werden können, ohne dass zusätzliche Schutzmaßnahmen erforderlich sind, wenn diese Unternehmen sich verpflichten, die festgelegten Datenschutzprinzipien einzuhalten.
Eine Liste der zertifizierten Unternehmen findet man hier.
Die Übermittlung an Unternehmen auf dieser Liste, ist unserer Auffassung nach also prinzipiell schonmal gestattet.

Was tun, wenn eine Plattform nicht in der Data Privacy Framework List steht? Die Tatsache, dass eine Plattform nicht aufgeführt ist, bedeutet nicht automatisch, dass sie nicht DSGVO-konform ist. Unternehmen können stattdessen andere geeignete Schutzmaßnahmen treffen, z. B.:

• Standardvertragsklauseln (SCCs): Diese erlauben den sicheren Datentransfer in Drittländer.

• Auftragsverarbeitungsvertrag (AVV/DPA): Eine rechtskonforme Vereinbarung kann DSGVO-Konformität sicherstellen.
  
  

Auftragsverarbeitungsvertrag (AVV)

Ein AVV (Auftragsverarbeitungsvertrag) ist das deutsche Äquivalent zum Data Processing Agreement (DPA). Beide Begriffe beziehen sich auf einen Vertrag zwischen dir als Verantwortlichem für die erhobenen Daten und einem Auftragsverarbeiter (z. B. einer No-Code-Plattform), der personenbezogene Daten in deinem Auftrag verarbeitet. Dieser Vertrag muss zwischen dir und dem Verarbeiter geschlossen werden.

Wie bekommt man ein AVV/DPA?

Viele No-Code-Plattformen bieten einen AVV/DPA standardmäßig an, meist als Download auf der Website oder auf Anfrage. Achte darauf, dass du einen unterzeichneten Vertrag. Manche Tools bieten dies automatisch and, bei anderen musst du dich an die Rechtsabteilung wenden.
Beispiele findest du hier:
AVV Bubble
AVV Airtable
AVV Webflow

Prüfe immer, welche Datenschutzmaßnahmen die Plattform ergreift, auch wenn sie nicht in der offiziellen Liste steht.

Sicherheit und Verschlüsselung

• Werden Daten verschlüsselt übertragen und gespeichert?

• Gibt es Mechanismen zum Schutz vor Datenlecks?

Benutzerrechte und Datenportabilität

• Kannst du deine Daten einfach einsehen, korrigieren oder löschen?

• Wird das Recht auf Datenübertragbarkeit unterstützt?

3. Schritte zur DSGVO-konformen Nutzung von No-Code-Tools

Um sicherzustellen, dass deine No-Code-Anwendung DSGVO-konform ist, solltest du folgende Schritte befolgen:

1. Anforderungen klären: Analysiere, welche personenbezogenen Daten verarbeitet werden.

2. Richtige Plattform wählen: Entscheide dich für eine Plattform, die die Erstellung einer DSGVO-konforme Lösungen bietet.

3. AVV/DPA abschließen

4. Datenschutzerklärung erstellen: Informiere deine Nutzer transparent über die Datenverarbeitung.

5. Consent: Nutze Funktionen wie Cookie-Banner und Consent-Management.

Fazit

Deine mit No-Code entwickelte Lösung kann DSGVO-konform sein, wenn du es richtig machst. Es liegt in deiner Verantwortung, die Plattformen sorgfältig zu prüfen, geeignete Vereinbarungen abzuschließen, Sicherheitsvorkehrungen zu treffen und sauber zu entwickeln.

Es gilt: Nur weil eine Lösung DSGVO-konform gebaut werden kann, bedeutet das nicht, dass sie es automatisch ist. Die korrekte Umsetzung der Datenschutzanforderungen durch dich als Anwender ist entscheidend, ebenso wie die sachgerechte Entwicklung der Softwarelösung.

👉 Compliance interessiert dich? Mit Mykori entwickeln wir Software, die von Banken in Deutschland eingesetzt wird und alle Prüfprozesse bestanden hat. Hier geht es zum Artikel.

👉 No-Code Risiken? Da gibt es tatsächlich einige. Hier findest du heraus was du beachten solltest.